Выскажу свое личное мнение, не претендующее на истину, тут возможно и юристы смогут проконсультировать и технические специалисты, в т.ч. от КриптоПро, т.к. вопрос в самом деле актуальный.
Автор: redu4
1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.
Обязанности включать в сертификат иную информацию, кроме той, которая установлена Федеральным законом "Об электронной подписи" и Требованиями к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденными приказом ФСБ России от 27.12.2011 № 795, у удостоверяющих центров нет.
Автор: redu4
3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)
Тут ответственность:
- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";
- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;
- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.
Автор: redu4
Варианты :
1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию
Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет.
Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.
Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".
Автор: redu4
2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?
В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.
Автор: redu4
1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)
Если документ пользователя ИС и ЭП (или несколько документов и ЭП к ним) рассматривать как пакет документов, то пользователь подписывает каждый документ - ИС (или оператор) подписывает "накладывает" подпись на каждый документ и (или) на весь пакет документов в зависимости от того, требуется ли в дальнейшем использовать совокупность поданных документов. По примерно такому принципу реализуется подача документов в ЛК ЮЛ ФНС.
Автор: redu4
4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?
В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.